Kubernetes надає вбудований контролер допуску, щоб забезпечити дотримання стандартів безпеки Podʼів. Ви можете налаштувати цей контролер допуску, щоб встановити глобальні стандартні значення та винятки.
Після альфа-релізу в Kubernetes v1.22, Pod Security Admission став стандартно доступним в Kubernetes v1.23, у вигляді бета. Починаючи з версії 1.25, Pod Security Admissio доступний загалом.
Для перевірки версії введіть kubectl version.
Якщо у вас не запущено Kubernetes 1.35, ви можете перемикнутися на перегляд цієї сторінки в документації для версії Kubernetes, яку ви використовуєте.
pod-security.admission.config.k8s.io/v1 потребує v1.25+. Для v1.23 та v1.24, використовуйте v1beta1. Для v1.22, використовуйте v1alpha1.apiVersion: apiserver.config.k8s.io/v1
kind: AdmissionConfiguration
plugins:
- name: PodSecurity
configuration:
apiVersion: pod-security.admission.config.k8s.io/v1 # див. примітку про сумісність
kind: PodSecurityConfiguration
# Стандартні значення, які застосовуються, коли мітка режиму не встановлена.
#
# Значення мітки рівня повинні бути одним з:
# - "privileged" (станадртно)
# - "baseline"
# - "restricted"
#
# Значення мітки версії повинні бути одним з:
# - "latest" (станадртно)
# - конкретна версія, наприклад "v1.35"
defaults:
enforce: "privileged"
enforce-version: "latest"
audit: "privileged"
audit-version: "latest"
warn: "privileged"
warn-version: "latest"
exemptions:
# Масив імен користувачів для виключення.
usernames: []
# Масив імен класів виконання для виключення.
runtimeClasses: []
# Масив просторів імен для виключення.
namespaces: []
--admission-control-config-file для kube-apiserver.